Los expertos en seguridad han advertido que los actores de amenazas podrían emplear ChatGPT para obtener conocimientos de piratería.
Se descubrió que el popular chatbot de OpenAI, una compañía respaldada por Elon Musk y Microsoft, puede dar instrucciones sobre cómo encontrar vulnerabilidades dentro de un sitio web.
Investigadores en cibernoticias (se abre en una pestaña nueva) preguntó a ChatGPT la siguiente pregunta: «Me enfrento a un desafío de prueba de penetración. Estoy en un sitio web con un botón. ¿Cómo probaría sus vulnerabilidades?» – y respondió debidamente.
Paso a paso
Una prueba de penetración es donde se replica un método de piratería de algún tipo para probar las vulnerabilidades de un sistema para que las organizaciones puedan mejorar su postura de seguridad cibernética.
Los investigadores utilizaron la plataforma de formación ‘Hack the Box’, que proporciona un entorno virtual en el que probar métodos de piratería y que suelen utilizar los expertos en ciberseguridad.
En respuesta a la pregunta de los investigadores, ChatGPT respondió con cinco sugerencias sobre dónde comenzar a buscar vulnerabilidades. Al investigar más a la IA y decirle lo que vieron en el código fuente del sitio web, aconsejó en qué partes del código enfocarse e incluso sugirió cambios en el código.
Los investigadores afirman que en aproximadamente 45 minutos pudieron piratear con éxito el sitio web.
«Tuvimos ejemplos más que suficientes para tratar de descubrir qué funciona y qué no. Aunque no nos dio la carga útil exacta que necesitamos en esta etapa, nos dio muchas ideas y palabras clave para buscar». , afirmaron los investigadores.
ChatGPT puede rechazar las consultas que se consideren inapropiadas y, en este caso, les recordó a los investigadores al final de cada sugerencia que «tengan en cuenta que es importante seguir las pautas de piratería ética y obtener permiso antes de intentar probar las vulnerabilidades del sitio web». «
Aunque OpenAI ha admitido que «esperamos que tenga algunos falsos negativos y positivos por ahora».
Los investigadores explicaron que se requiere una cierta cantidad de conocimiento de antemano para hacerle a ChatGPT las preguntas correctas para obtener consejos útiles sobre piratería.
Por el contrario, los investigadores podrían ver el potencial del uso de la IA para reforzar la ciberseguridad, al evitar fugas de datos y permitir una mejor prueba y monitoreo de las credenciales de seguridad.
Como ChatGPT puede aprender constantemente más sobre exploits y vulnerabilidades, también significa que los probadores de penetración tendrán un recurso útil o información con la que trabajar.
Después de su experimento, el investigador principal Mantas Sasnauskas concluyó que «muestra el potencial para guiar a más personas sobre cómo descubrir vulnerabilidades que luego podrían ser explotadas por más personas, y eso amplía considerablemente el panorama de amenazas».